Uma história envolvendo Engenharia Social e o uso de inteligência artificial nos faz reiterar sobre os perigos e cuidados necessários para enfrentar o mundo digital. Uma mulher francesa foi vítima de cibercriminosos que utilizaram imagens geradas por IA para se passar pelo ator Brad Pitt. Acreditando estar em um relacionamento com o astro de Hollywood, ela acabou transferindo a 830 mil euros (cerca de R$ 5,1 milhões). Este caso reforça a importância da conscientização digital e das boas práticas de segurança online. O que realmente está por trás disso? Para respondermos essas perguntas, é importante entendermos que se trata de uma técnica utilizada em sua grande maioria por cibercriminosos, mas não se limitando a eles.
O que é Engenharia Social?
A Engenharia Social pode ser considerada como a manipulação psicológica de indivíduos para obtenção de informações confidenciais, acessos a sistemas de computadores, autorizações para certas ações ou para influenciar o comportamento das pessoas. Aqui no Brasil, é muito comum nos referirmos à Engenharia Social, como golpes, ou seja, golpes do WhatsApp, golpes do PIX, golpes do boleto falso e por aí vai.
A Engenharia Social não é uma realidade exclusivamente brasileira, muito pelo contrário. Temos inúmeros casos, com destaque para chamadas fraudulentas somadas à Engenharia Social, que fazem com que idosos portugueses percam suas economias de vida. Ou de funcionário de banco em Hong Kong, na China, que transferiu dezenas de milhões de reais para cibercriminosos, nos EUA, e inúmeros outros países.
Por que caímos em ações de engenharia social? Será que é algo que você realmente está blindado(a)?
O autor do livro Rápido e Devagar, Daniel Kahneman compartilha que temos basicamente dois sistemas cerebrais:
- Sistema 1: é rápido, paralelo, automático, inconsciente e dirigido por emoções e associações, mais conhecido por nós, como “estar no automático”;
- Sistema 2: que é lento, sequencial, deliberativo, baseado em regras e que utiliza cálculos conscientes para chegar a decisões.
Quando estamos a mil por hora, respondendo e-mail, com inúmeras mensagens do WhatsApp pulando na tela, recebendo ligações, dando atenção para o colega de trabalho e correndo para entrar em outra reunião, a chance de você estar no seu sistema 1 é imensa. Uma vez de estar no automático, caso um desses contatos seja de um cibercriminoso, a probabilidade de ele conseguir te fazer tomar decisões indesejadas é muito elevada. Contudo, quando pensamos nas ferramentas de IA, as chances dos cibercriminosos aumentam muito. Os cibercriminosos sempre fazem uso das emoções. E o alvo não são os sistemas, mas sim, os seres humanos.
Por exemplo, usando uma técnica complexa chamada Injeção Indireta de Prompt, pesquisadores conseguiram manipular um chatbot do Bing para se passar por um funcionário da Microsoft, gerando mensagens de phishing que solicitavam informações de cartão de crédito dos usuários.
Ademais, os cibercriminosos combinam diferentes técnicas para aumentar suas chances de sucesso, com destaque para o uso dos seguintes artifícios: tempo (urgência); nível hierárquico; empatia; convencimento; manipulação emocional; credibilidade e a já falada Inteligência Artificial.
Cabe destacar que a Engenharia Social não está restrita ao meio digital, e os principais tipos desta técnica são: entrevista; phishing/ spearphishing/ whaling (por e-mail; através de sites; nas redes sociais – “social phishing“; de voz – “vishing”; por WhatsApp – “whishing”; por SMS – “smishing”); ataques de isca (“baiting attacks”); e ataques de violação física.
Sobre o conceito de phishing, e se estendendo aos demais tipos de Engenharia Social, supracitados, temos que é qualquer tipo de fraude por meios de telecomunicações, que usa procedimentos de engenharia social para obter dados privados das vítimas ou de uma organização/ órgão público.
Como combater a Engenharia Social?
Sempre diminua a velocidade e pense antes de prosseguir com qualquer ação.
- Minhas emoções estão intensificadas? Quando você estiver especialmente curioso, com medo ou empolgado, é menos provável que você avalie as consequências de suas ações;
- Esta mensagem veio de um remetente legítimo? Inspecione endereços de e-mail e perfis de mídia social com cuidado ao receber uma mensagem suspeita. Pode haver caracteres que imitam outros, como “leonardofarias@eorganizacaoxyz.com.br” ao invés de “leonardofarias@organizacaoxyz.com.br”;
- Faz sentido receber esta mensagem?
- O site em que estou tem detalhes estranhos? Irregularidades na URL, baixa qualidade de imagem;
- Esta oferta parece boa demais para ser verdade?
- Anexos ou links suspeitos?
- Sites suspeitos? Verificar se o site possui certificado digital, também conhecido como certificado SSL – Secure Sockets Layer.
Voltando ao caso da francesa
A engenhosidade dos golpistas digitais ganha novos contornos com o uso de tecnologia de criação de imagens por inteligência artificial. No caso da francesa, contas falsas em redes sociais e WhatsApp foram usadas para enganar Anne, que acreditava estar em um relacionamento com Brad Pitt. Os criminosos, utilizando selfies e mensagens supostamente enviadas pelo ator, convenceram-na a transferir uma fortuna, alegando que ele precisava de dinheiro para um tratamento renal devido a contas congeladas após seu divórcio com Angelina Jolie.
Durante um ano e meio, Anne viveu sob a ilusão de estar em contato com o astro de Hollywood, até descobrir a verdade ao saber sobre o relacionamento real de Pitt com Ines de Ramon. Este episódio é um alerta contundente sobre como vulnerabilidades emocionais e avanços tecnológicos podem ser explorados por cibercriminosos. A conscientização digital nunca foi tão essencial.
Um caso que combina manipulação emocional e alta tecnologia mostra como os golpistas digitais podem ser persuasivos. Segundo a imprensa francesa, Anne, uma decoradora francesa, foi abordada no Instagram em fevereiro de 2023 por uma conta que se passava pela mãe de Brad Pitt. Após ganhar sua confiança, os golpistas introduziram uma segunda conta, desta vez fingindo ser o próprio ator.
Durante as conversas, Anne compartilhou detalhes pessoais, como seu divórcio de um empresário rico, que lhe rendeu uma grande quantia em dinheiro. Essa informação foi utilizada pelos golpistas para construir uma narrativa convincente e explorar sua confiança.
Este caso reforça a importância de manter atenção redobrada nas interações digitais e de evitar compartilhar informações pessoais com desconhecidos. Em um mundo onde tecnologia e engenharia social se entrelaçam, a segurança online é fundamental.
Cyberbullying
O impacto das redes sociais e da exposição pública é um tema que merece atenção e sensibilidade, especialmente quando envolve vítimas de golpes e fraudes. Após ser entrevistada pelo canal francês TF1, Anne passou a enfrentar uma onda de assédio e ridicularização online. O caso foi tão grave que a emissora decidiu remover a entrevista de seus canais de distribuição.
Harry Roselmack, apresentador da TF1, destacou em sua conta no X (antigo Twitter) que a vítima sofreu “uma onda de assédio” desde a transmissão do programa no último domingo. Esse episódio revela não apenas os perigos da manipulação digital, mas também os desafios sociais enfrentados por quem se torna vítima de tais crimes, muitas vezes julgados pela opinião pública de forma cruel e injusta.
É essencial que as organizações, profissionais e a sociedade, como um todo, promovam empatia e educação digital para combater o cyberbullying e criar um ambiente onde as vítimas de crimes cibernéticos possam buscar ajuda sem medo de serem revitimizadas. Investir em conscientização e apoio emocional é tão importante quanto prevenir fraudes. 💡🌐
Conclusão
A história de Anne é um exemplo claro de como a manipulação emocional e os avanços tecnológicos podem ser usados para explorar vulnerabilidades humanas. Em um cenário onde as ameaças digitais estão cada vez mais sofisticadas, a prevenção e a conscientização tornam-se ferramentas indispensáveis.
Para proteger sua empresa e seus colaboradores contra os perigos da engenharia social e de ataques cibernéticos, é fundamental investir em capacitação contínua dos funcionários e em consultoria especializada em segurança digital é essencial para que todos estejam preparados para reconhecer e reagir a possíveis tentativas de golpe.
Ao implementar programas de treinamento personalizados e contar com especialistas para avaliar e fortalecer seus sistemas de proteção, sua organização não apenas reduz os riscos, mas também demonstra um compromisso com a segurança e a confiança de seus clientes e parceiros. Em tempos de ameaças digitais crescentes, agir de forma proativa é o melhor caminho.
Gostou do conteúdo? Comente e compartilhe!